Session-Problem

Hi

Wenn für deinen Benutzernamen nur die Buchstaben A-Z und Zahlen 0-9 verwendet werden dürfen dann solltest du das prüfen.

Mfg Akkie
 
Du überprüfst ob der Username nur aus den erlaubten Zeichen besteht und nicht etwas aus <> oder sonstwelchen Sonderzeichen die bei der späteren verarbeitung Ärger machen könnten.
 
Hi

Du hast doch beim Login ein Feld wo der Benutzer einen Username eingeben kann.
Der Benutzer könnte jetzt dort einen SQL Befehl eingeben.
Du wirst mir jetzt sagen ich habe doch die funktion mysql_real_escape_string().
Ich sage dir prüfe trotzdem ob der Benutzername wohlgeform ist. Das heißt ob er nur aus Buchstaben oder Zahlen besteht. Dann würde der String erst gar nicht an die Funktion mysql_real_escape_string() weiter gegeben werden.

Wieso das alles. Was ist wenn die funktion mysql_real_escape_string() einen Bug hat?

Nochmal: Traue keinen Benutzereingaben. Das heißt alles was in den $_COOKIE, $_GET, $_POST, $_REQUEST Arrays steht ist gefährlich.


Die Funktion die du suchst ist preg_match

Mfg Akkie
 
Zuletzt bearbeitet:
Hi Akkie!
Danke für den Tipp, um so sicherer um so besser, stimmt natürlich ;)
Jetzt verstehe ich auch was du meinst, ganz schön raffiniert was sich manche einfallen lassen (auch wenns nicht schön ist.)

Ich werd in Zukunft wohl darauf mehr achten müssen :rolleyes:

Danke für eure Hilfe!


Ecology
 
Zurück